RECOMANACIÓ 1/2008 de l’Agència Catalana de Protecció de … i guies... · 2011. 7. 4. ·...

R E C O M A N A C I Ó 1 / 2 0 0 8

d e l ’ A g è n c i a C at a l a n a d e P r o t e c c i ó d e D a d e s

s o b r e l a d i f u s i ó d ’ I n f o r m a c i ó q u e c o n t i n g u i

d a d e s d e c a r à c t e r p e r s o n a l a t r a v é s d ’ I n t e r n e t

A b r i l 2 0 0 8

Recomanació 1/2008 sobre la difusió d’informació que contingui dades de caràcter personal a través d’Internet

Índex

Capítol I. Aspectes generals

1. Objecte de la Recomanació .......................................................................... 4

2. Àmbit d’aplicació ............................................................................................. 5 3. Concepte de difusió ......................................................................................... 5 4. Principis ............................................................................................................... 5

Capítol II. Difusió d’informació per Internet Secció 1a. Condicions generals de la difusió

5. Legitimitat de la publicació ............................................................................. 7 6. Proporcionalitat de la informació ................................................................... 8

7. Exactitud i actualització de les dades difoses................................................ 9

8. Limitació temporal de la difusió ...................................................................... 10

9. Revisió periòdica del contingut de les webs ................................................. 10

10. Deure d’informació ......................................................................................... 11

11. Exercici dels drets d’habeas data ................................................................. 11

12. Mesures de seguretat .................................................................................... 12

Secció 2a. Supòsits específics

13. Enllaços a altres webs ..................................................................................... 12 14. Servei d’allotjament de webs ........................................................................ 13 15. Blogs i fòrums de discussió .............................................................................. 13

16. Eines de recerca ............................................................................................. 14

17. Difusió de dades personals relatives a la comissió d’infraccions,

a la imposició de sancions o a resolucions judicials ................................... 15

18. Difusió d’actes de les sessions d’òrgans col.legiats ..................................... 16

19. Difusió de dades personals consistents en imatges o veus......................... 17

Capítol III. Publicació a diaris oficials i butlletins oficials electrònics 20. Eines de recerca .............................................................................................. 17 21. Deure d’informació i exercici dels drets d’habeas data ............................ 18

Annexos ............................................................................................................. 20

Pàgina 1


Recomanació 1/2008 sobre la difusió d’informació que contingui dades de caràcter personal a través d’Internet En el moment actual ens trobem davant d’una creixent difusió de tot tipus d’informació a través de mitjans electrònics, fonamentalment a través d’Internet, que, en la mesura que pot contenir informació relativa a les persones físiques, afecta el dret fonamental a la protecció de dades. El dret fonamental a la protecció de dades de caràcter personal es configura en l’article 18.4 de la CE i en l’article 31 de l’Estatut d’Autonomia de Catalunya, com a dret a l’autodeterminació informativa (STC 292/2000), i es desenvolupa en la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). Aquest dret implica que el tractament de dades de caràcter personal només pot fer-se de forma adequada per assolir les finalitats legítimes que justifiquen el seu tractament i, en definitiva, que el ciutadà ha de poder saber i tenir control sobre qui utilitza les seves dades de caràcter personal, per a quina finalitat i a qui es faciliten aquestes dades, entre d’altres circumstàncies. Aquest control es pot exercir a través dels anomenats drets d’habeas data (drets d’accés, rectificació, cancel.lació i oposició), que confereixen a la persona la potestat de protegir aquesta informació i d’exercir-ne per tant un control efectiu. Dins l’àmbit europeu, és rellevant fer esment del Conveni 108 del Consell d’Europa, i de l’informe explicatiu a aquest Conveni, segons el qual el “poder de la informació” comporta la responsabilitat social dels usuaris de les dades en el sector públic i privat. Així mateix, cal fer esment de les directives de la Unió Europea que afecten la protecció de dades, principalment, la Directiva 95/46/CE i algunes decisions jurisprudencials d’especial rellevància com ara la Sentència del Tribunal de Drets Humans d’Estrasburg, Peck c. Regne Unit, de 28 de gener de 2003, en relació amb l’aplicació de l’article 8 del CEDH, o la Sentència del Tribunal de Justícia de les Comunitats Europees, de 6 de novembre de 2003 (cas Lindqvist). Tenint en compte, a més, el caràcter d’administració pública o, si més no, la vinculació amb l’exercici de funcions públiques de les entitats sotmeses a l’àmbit d’actuació de l’Agència Catalana de Protecció de Dades, ens trobem que el dret a la protecció de dades de caràcter personal conflueix amb un altre dret: el dret d’accés a la informació, reconegut en l’article 105 de la CE i desenvolupat en la Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú, i en altres disposicions de caràcter sectorial. A Catalunya, a més, l’Estatut d’Autonomia concreta el dret d’accés dels ciutadans a la informació en

Pàgina 2

http://www.apd.cat/media/389.pdf






http://www.apdcat.net/media/399.pdf













matèries de gran repercussió en la vida dels ciutadans, com ara els drets i deures amb relació al medi ambient (art. 27.3), els drets en l’àmbit de la salut (art. 23.3) o els drets d’accés als serveis públics i a una bona administració (art. 30). Aquest darrer podria incloure l’accés a la informació necessària en relació amb aquests serveis públics, com a mesura de transparència administrativa. Des del punt de vista de la protecció de dades de caràcter personal, l’aparició de problemes derivats de la utilització d’Internet per a la difusió d’informació conflueix, en el moment actual, encara amb dos elements més: per una banda, l’aprovació de la Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics; per una altra banda, l’aprovació de la Llei 2/2007, de 5 de juny, del Diari Oficial de la Generalitat de Catalunya, que ha comportat que a partir del dia 30 de juny de 2007 l’edició digital del DOGC sigui l’única versió amb caràcter oficial. És precisament la confluència de tots aquests elements la que aconsella l’elaboració de la present Recomanació. Aquest text no pretén innovar l’ordenament jurídic, ni tan sols ser un recordatori exhaustiu de tota la normativa de protecció de dades, ni molt menys de tota la normativa sectorial que pot tenir incidència en la difusió dels diferents tipus de dades, sinó només servir com a recordatori i, en la mesura que sigui possible, d’instrument interpretatiu d’aquells aspectes que resulten més problemàtics. Per aquest motiu, després de recordar els principis aplicables més importants, s’analitzen els problemes que, a partir de l’experiència d’aquesta Agència, s’han detectat en la difusió de dades feta per les entitats incloses en l’àmbit d’actuació de l’Agència Catalana de Protecció de Dades, amb especial èmfasi, amb un capítol específic, en la publicació de dades a través dels diaris oficials electrònics. Ara bé, en el tema que ens ocupa el dret a la protecció de dades de caràcter personal conflueix també amb altres drets fonamentals, en especial amb els drets reconeguts a l’article 20 CE, la llibertat d’expressió i la llibertat d’informació. Les recomanacions incloses en aquest document es formulen amb la intenció d’oferir un marc plenament garantista del dret a la protecció de dades, però això no obsta que, quan en un supòsit concret aquest dret pugui entrar en conflicte amb un altre dret fonamental, s’hagin de ponderar els diferents drets concurrents a fi de trobar la solució que permeti, en major mesura, la satisfacció dels interessos implicats sense haver de sacrificar necessàriament el contingut essencial d’un dret fonamental en favor de l’altre. En qualsevol cas, i atès el caràcter canviant de la tecnologia i en conseqüència de la matèria objecte d’aquesta iniciativa, la present recomanació no es concep com quelcom estàtic, sinó més aviat com una eina dinàmica l’aplicació de la qual estarà sotmesa per part de la mateixa Agència Catalana de Protecció de Dades a un procés continuat de verificació, per tal de comprovar els resultats de la seva aplicació i adequar les previsions que s’hi contenen als nous problemes que es puguin plantejar.

Pàgina 3









Segons disposa l’article 15 del Decret 48/2003, de 20 de febrer, pel qual s’aprova l’Estatut de l’Agència, correspon a la directora de l’Agència dictar les instruccions i recomanacions necessàries per adequar els tractaments de dades personals als principis de la legislació vigent en matèria de dades de caràcter personal. Capítol I. Aspectes generals

1

OBJECTE DE LA RECOMANACIÓ

L’objecte d’aquesta Recomanació és donar pautes d’actuació en la difusió d’informació que contingui dades de caràcter personal a les seus electròniques o pàgines web a través d’Internet. Aquesta recomanació també és d’aplicació a la difusió de dades de caràcter personal que es realitzi a través de la intranet o extranet, en allò que estableixen els Capítols I i II d’aquesta Recomanació, excepte el que estableix l’apartat 16. En el moment que facin un tractament de dades de caràcter personal que inclogui la difusió d’aquestes dades a través d’ Internet o d’una intranet corporativa, tots els responsables de fitxers de dades de caràcter personal sotmesos al control de l’Agència Catalana de Protecció de Dades, han de tenir en compte les consideracions fetes en aquesta Recomanació en relació amb els principis i obligacions de la legislació de protecció de dades de caràcter personal. Queda fora de l’objecte d’aquesta Recomanació:

a) La difusió d’informació que no contingui dades de caràcter personal o que hagi estat objecte de dissociació prèvia que no permeti identificar les persones afectades.

b) La recollida de dades a través d’Internet, que es regirà en qualsevol cas per la legislació de protecció de dades de caràcter personal i altra normativa sectorial aplicable.

c) La difusió d’informació de servei sobre les persones que ocupen determinats llocs de treball en l’entitat o organisme, les seves funcions i les dades de contacte, quan sigui necessari ateses les seves funcions.

d) Els actes i disposicions que només incloguin, com a dades de caràcter personal, la identificació dels càrrecs i funcionaris autors de l’acte o disposició o que donin fe de la seva autenticitat.

e) La difusió d’informació mitjançant un sistema que requereixi la identificació prèvia a l’accés, per tal de comprovar la legitimació necessària per a poder accedir a les dades de caràcter personal.

Pàgina 4





2

ÀMBIT D’APLICACIÓ

La present Recomanació s’adreça a tots els òrgans, organismes i entitats que formen part o depenen de les institucions públiques de Catalunya, de l’Administració de la Generalitat, dels ens locals de Catalunya, de les universitats de Catalunya i de les corporacions de dret públic que exerceixin les seves funcions exclusivament a Catalunya, que formen part de l’àmbit d’actuació de l’Agència Catalana de Protecció de Dades d’acord amb l’article 156 de l’Estatut d’Autonomia de Catalunya, amb independència del lloc on es trobi el servidor de la informació i del fet que la informació difosa a través d’Internet sigui accessible per a usuaris que es trobin a altres països. També s’adreça a les entitats públiques o privades que, en funció de qualsevol conveni, contracte o disposició normativa, gestionin serveis públics o exerceixin funcions públiques, sempre que en aquest darrer cas el tractament es faci a Catalunya i sigui en relació amb matèries que siguin de la competència de la Generalitat de Catalunya o dels ens locals de Catalunya.

3

CONCEPTE DE DIFUSIÓ

Als efectes d’aquesta Recomanació, es considera difusió la comunicació d’informació que contingui dades de caràcter personal a través d’Internet, intranet o extranet, adreçada a una pluralitat indeterminada de destinataris que puguin accedir-hi sense necessitat d’una identificació prèvia per part del responsable de la difusió, per acreditar la legitimació necessària per a poder accedir a les dades de caràcter personal. Cal entendre per dada de caràcter personal tota informació que identifica o fa identificable una persona física, com es desprèn de les definicions de l’article 3 de la LOPD, i 2.a) de la Directiva 95/46/CE. Resulta d’especial interès en aquest sentit, per tal de delimitar aquest concepte, el Dictamen del Grup de Treball de l’article 29, sobre el concepte de dada personal, de 20 de juny de 2007.

4

PRINCIPIS

Sens perjudici dels principis generals del procediment i règim jurídic de les administracions públiques i dels propis de l’àmbit sectorial de què es tracti, en la difusió d’informació a través d’Internet cal tenir en compte els principis de la legislació en matèria de protecció de dades de caràcter personal i, en especial, el següent:

Pàgina 5








Consentiment: només es pot procedir a la difusió d’informació que contingui dades de caràcter personal quan es compti amb el consentiment del titular de les dades o quan la difusió derivi de les previsions d’una norma amb rang de llei. Proporcionalitat: és necessària la ponderació per tal que la informació facilitada sigui l’estrictament adequada i es mantingui només durant el temps adequat per a assolir la finalitat que legitima la difusió de les dades. Es considerarà adequada la informació que sigui idònia i imprescindible per assolir la finalitat perseguida, sempre que, quan sigui possible difondre electrònicament la informació de diferents formes, o amb diferents graus de concreció, s’opti per aquell sistema que, alhora que permeti assolir igualment la finalitat perseguida, comporti una menor difusió de dades de caràcter personal tant des d’un punt de vista qualitatiu com quantitatiu. Exactitud: correspon a l’administració o organisme que difongui o ordeni la difusió de dades de caràcter personal per Internet vetllar per la seva correcció i actualització, com també pel cessament de la difusió quan esdevingui innecessària o il.legítima. Inalterabilitat de drets i garanties: la utilització d’Internet per a la difusió d’informació ha de garantir el manteniment de la integritat dels drets i les garanties jurídiques i de seguretat, contingudes a la Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques, a la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal i altres normes d’aplicació. Adaptabilitat al progrés: en la difusió d’informació a través d’Internet, cal adequar les mesures de seguretat als avenços que experimenti la tecnologia i a les necessitats derivades dels nous riscos. Responsabilitat: les entitats o òrgans responsables dels fitxers o tractaments són responsables de la informació que ofereixen a través d’Internet que incorpori dades de caràcter personal, amb independència de les responsabilitats en què puguin incórrer els prestadors de serveis de la societat de la informació o els que ofereixin serveis d’intermediació d’aquests. Els constants avenços tecnològics poden fer perdre ràpidament l’eficàcia de les previsions concretes que figuren en aquesta recomanació per tal de donar resposta als problemes detectats fins ara. Per això, si en la protecció de dades en general és important el compliment dels principis continguts fonamentalment a l’article 4 de la LOPD, ho és molt més encara en aquest àmbit, perquè són els principis generals els que permetran donar resposta als nous problemes que es plantegin.

Pàgina 6







Capítol II. Difusió d’informació per Internet Sens perjudici de les consideracions que després es formularan respecte els diaris i butlletins oficials electrònics, cal tenir en compte que Internet i la seu electrònica de les institucions públiques no tenen, per si mateixes, la consideració de fonts accessibles al públic. Per això, el tractament de les dades que figurin a Internet o a les seus electròniques de les institucions públiques estan sotmeses als principis i garanties establerts a la LOPD, que resultarien d’aplicació en cada cas en funció de la naturalesa de les dades de què es tracti. La difusió d’informació que contingui dades de caràcter personal realitzada a través d’Internet per alguna de les entitats incloses en l’àmbit d’aplicació d’aquesta recomanació, a través d’un servidor ubicat al territori espanyol, no constitueix una transferència internacional de dades amb independència que la informació pugui ser consultada des de tercers països. Per tant, no està subjecta a la normativa que regula les transferències internacionals de dades. Secció 1a: condicions generals de la difusió

5

LEGITIMITAT DE LA PUBLICACIÓ: Difoneu la informació que contingui dades personals quan tingueu el consentiment previ de l’interessat o bé quan ho autoritzi una norma amb rang de llei

La difusió de dades de caràcter personal a través d’Internet, tot i no tenir uns destinataris concrets, ha de ser considerada com una comunicació de dades en el sentit de l’article 11 de la LOPD. Per tant, la difusió per Internet d’informació que contingui dades de caràcter personal només és pertinent quan es realitza en el marc de les funcions que cada ens té atribuïdes i es compta amb el consentiment dels afectats, o bé ho autoritza una norma amb rang de llei. Per tant, es recomana a les entitats responsables dels fitxers que continguin la dita informació fer una anàlisi prèvia, des del punt de vista de la protecció de dades de caràcter personal, de la informació que es pretengui difondre, per tal d’evitar la difusió d’informació que contingui dades de caràcter personal fora dels supòsits legalment previstos. A aquests efectes, en primer lloc cal analitzar si la difusió de dades pot comportar afectació dels drets i interessos de les persones, en especial dels drets de l’article 18 CE, tenint en compte els límits que estableixi la normativa sectorial aplicable en funció de la tipologia de les dades personals, de les persones físiques afectades o de si permet o facilita l’obtenció de perfils sobre la personalitat o la conducta de persones determinades o determinables. En aquesta anàlisi, caldrà avaluar, com a mínim, els aspectes següents:

Pàgina 7





- Si les dades han estat recollides per a una finalitat legítima i d’una forma legítima. - Si existeix deure de reserva. - Si s’ha informat els interessats de la posterior difusió de les seves dades a través de pagines web i de les implicacions que això pot tenir. - Si es compta amb el consentiment de les persones afectades per la difusió. - Si existeix previsió en norma amb rang de llei sobre la publicitat que cal donar a la dita informació. - Si entre les dades que es pretén difondre n’hi ha que tinguin la consideració d’especialment protegides o que es refereixin a l’honor, la intimitat i la pròpia imatge. - Si les dades es refereixen a persones menors o a persones que requereixin una especial protecció, per raons de seguretat o per altres causes. - Si les dades permeten o faciliten l’obtenció de perfils sobre la personalitat o la conducta de les persones afectades. - Si és possible gestionar l’accés a la informació personal a través de paraules de pas o altres sistemes d’accés restringit a les persones interessades o a seccions de la pàgina web que no són d’accés general. - Si l’ordenament preveu una durada determinada de la publicació de les dades o, altrament, quina ha de ser aquesta durada. L’existència de determinades dades especialment sensibles pot fer aconsellable establir seccions diferenciades en la pàgina web que permetin un accés restringit a aquelles dades que així ho requereixin. En aquells supòsits en què la norma legal habilitadora atorgui un marge de discrecionalitat per apreciar la necessitat de difusió, adquireix especial importància el deure de motivació dels actes de les administracions públiques establert a l’article 54.a) de la LRJPAC per als actes que limiten drets subjectius. Per això, en aquests casos es recomana que la difusió vagi precedida d’una decisió motivada on es ponderi el deure de publicació amb les afectacions que se’n puguin derivar per al dret a la protecció de dades personals.

6

PROPORCIONALITAT DE LA INFORMACIÓ: No difongueu més dades personals que les necessàries per assolir la finalitat de la difusió

En aquells supòsits en què la difusió d’informació sigui legítima, es recomana a l’òrgan o entitat que en sigui responsable que adopti les mesures necessàries perquè aquesta difusió només es produeixi respecte d’aquelles dades que en cada cas resultin necessàries per assolir la finalitat que la justifiqui. Per tal d’evitar la difusió innecessària de dades de caràcter personal, quan sigui possible optar entre diferents formes de publicació es recomana utilitzar aquella que, alhora que permeti assolir la finalitat perseguida, millor garanteixi el dret a la protecció de les dades de caràcter personal. D’acord amb això,

Pàgina 8



en aquells supòsits en què, d’acord amb el que estableixi la legislació vigent, la publicació substitueixi o complementi la notificació d’actes administratius que continguin dades de caràcter personal, es recomana a les entitats que ordenen la publicació que aquesta es limiti a una breu indicació del contingut de l’acte i el lloc i el termini on poden comparèixer les persones interessades per tal de tenir coneixement íntegre de l’acte de què es tracti, sempre que això no impedeixi assolir la finalitat de la publicació. Quan la normativa d’aplicació només prevegi la utilització d’Internet per oferir determinades dades, però sense especificar la seva publicitat, es recomana, sempre que això no impedeixi la consecució de la finalitat perseguida, utilitzar sistemes d’identificació per a l’accés que permetin verificar la legitimació de la persona que pretengui accedir a les dades de caràcter personal, de manera que aquestes es difonguin només als interessats directes o aquelles persones o col.lectius titulars d’interessos legítims. En els supòsits en què no es compti amb una cobertura legal que justifiqui la publicació, o en què es pugui assolir igualment la finalitat perseguida sense la publicació de dades de caràcter personal, es recomana valorar la possibilitat de fer la difusió de manera anonimitzada, indicant als interessats la forma com poden accedir al contingut complet de l’acte o de la informació, o bé utilitzar un sistema d’accés restringit com el descrit al paràgraf anterior . Sens perjudici de la possibilitat d’utilitzar números identificatius o codis per a oferir informació en aquells supòsits en què aquest sistema permeti assolir la finalitat perseguida, es recomana també limitar la publicació de números identificatius, com ara el número del document nacional de identitat, el número d’afiliació a la seguretat social o d’altres, de forma conjunta amb la identificació completa de la persona a la qual es refereixen, a aquells supòsits en què la publicació d’aquesta dada concreta es desprengui de la normativa aplicable. En el cas de la publicació del resultat dels procediments selectius o de concurrència competitiva, es recomana, llevat que la normativa específica reguladora de la matèria estableixi altrament, limitar la publicació a la indicació dels participants seleccionats, sense fer menció de la valoració obtinguda ni dels participants que hagin estat descartats, sens perjudici de la possibilitat d’establir sistemes d’accés restringit que permetin a cada aspirant accedir a la informació completa que l’afecti.

7

EXACTITUD I ACTUALITZACIÓ DE LES DADES DIFOSES: Vetlleu perquè les dades difoses siguin correctes i actualitzades

Les dades personals difoses han de ser correctes. Per això, cal evitar que la difusió d’informació parcial o desactualitzada pugui induir a equívocs o confusions que puguin perjudicar els afectats.

Pàgina 9


Igualment, per a evitar situacions que generin confusions, es recomana que la publicació de dades a Internet vagi acompanyada sempre de la data d’actualització de la informació.

8

LIMITACIÓ TEMPORAL DE LA DIFUSIÓ: Ajusteu el període de difusió al compliment de la finalitat que la justifica

El principi de proporcionalitat comporta també que la difusió de les dades sigui delimitada temporalment al període de temps necessari per a assolir la finalitat que en justifica la publicació. Per això, es recomana a les entitats responsables de la difusió de dades de caràcter personal per Internet que estableixin els mecanismes necessaris per tal de garantir que, un cop hagi transcorregut el termini d’exposició pública determinat per la norma que n’exigeixi la publicació, es limiti l’accés a les dades de caràcter personal. En el cas que la normativa d’aplicació no prevegi expressament un termini d’exposició pública, la difusió s’ha de limitar temporalment al període necessari per assolir la finalitat que justifica la publicació de les dades, tenint en compte especialment, a aquests efectes, si la finalitat de la difusió consisteix en la transparència de l’actuació administrativa, la participació en la tramitació d’un procediment, l’eficàcia d’un acte, la possibilitat d’exercici del dret de defensa o altres. Igualment, en els casos en què la difusió es fonamenti únicament en el consentiment del titular, si el titular de les dades revoca el seu consentiment cal adoptar les mesures necessàries per al cessament de la difusió.

9

REVISIÓ PERIÒDICA DEL CONTINGUT DE LES WEBS: Establiu revisions periòdiques de les dades difoses

Per tal d’aconseguir les finalitats exposades en els dos apartats anteriors, es recomana una revisió periòdica dels continguts de les seus electròniques i les pàgines web, o si més no d’aquelles parts que incorporin dades de caràcter personal, per tal de corregir les errades que es detectin i per cessar la difusió en el cas que ja hagi esdevingut innecessària o il.legítima.

Pàgina 10


10

DEURE D’INFORMACIÓ: Informeu sobre la vostra política de privacitat i sobre l’exercici dels drets

Sens perjudici del deure d’informació establert a l’article 5 de la LOPD, es recomana donar informació, a la seu electrònica o web on es difongui la informació, sobre la política de privacitat de la web (disposició legal que autoritza la publicació de les dades en cada cas, origen de les dades, tractaments a què són sotmeses, període previst de publicació, utilització i conservació de la informació sobre les visites efectuades, cookies, mesures adoptades per evitar determinades recerques basades en dades de caràcter personal, utilització d’eines que permetin el tractament de les dades de tràfic per part de tercers, etc. ). Es recomana també, especialment, informar de la possibilitat d’exercici dels drets d’accés, rectificació, cancel.lació i oposició de les dades de caràcter personal que hi són difoses, la forma com poden exercir-se i l’òrgan davant el qual es pot fer.

11

EXERCICI DELS DRETS D’HABEAS DATA: Adopteu les mesures adequades per fer efectius els drets d’habeas data

Correspon a l’òrgan o organisme responsable del fitxer de dades de caràcter personal on es trobi la informació atendre les sol.licituds d’exercici dels drets d’accés, rectificació, cancel.lació i oposició i, si escau, adoptar les mesures necessàries per a fer-los efectius. Mitjançant el dret d’accés, l’interessat pot sol.licitar al responsable del fitxer on es contingui la informació publicada que se l’informi sobre l’origen de les dades publicades, sobre les altres comunicacions realitzades o que es prevegin fer, com també sobre la finalitat del fitxer on es troben incloses. Mitjançant el dret de rectificació, l’interessat pot sol.licitar al responsable del fitxer que es rectifiquin les seves dades de caràcter personal que resultin inexactes o incompletes. En aquest cas, cal dur a terme la correcció i a més advertir, en la mateixa web, que la informació ha estat rectificada. Mitjançant el dret d’oposició a la difusió de les dades, el titular de les dades publicades pot oposar-se, llevat que una llei disposi el contrari, a la difusió a Internet d’unes determinades dades, o que aquesta difusió es realitzi en unes determinades condicions. Mitjançant el dret de cancel.lació, el titular de les dades pot sol.licitar, quan no sigui contrari a l’ordenament jurídic, que les seves dades contingudes en un o diversos fitxers siguin suprimides d’aquests fitxers. La cancel.lació ha de comportar el cessament de la difusió, sense que, als efectes de l’article 16.4 de

Pàgina 11




la LOPD, sigui necessària la notificació de la cancel.lació a les persones que n’hagin tingut coneixement a través d’Internet.

12

MESURES DE SEGURETAT: Adopteu les mesures necessàries per protegir la integritat de les dades

El responsable de la web o seu electrònica ha d’adoptar les mesures de seguretat necessàries per tal d’assegurar la integritat de la informació publicada, de forma que no pugui ser manipulada per terceres persones. A aquests efectes, es recomana la implantació d’un sistema d’identificació dels administradors i editors que eviti la manipulació del contingut de la web per part de terceres persones no autoritzades. Secció 2a: Supòsits específics

13

ENLLAÇOS A ALTRES WEBS: Reviseu els enllaços a altres pàgines web

Es planteja un problema específic en relació amb la informació que es pugui difondre indirectament a través de la incorporació, en les seus electròniques i les pàgines web de les entitats incloses a l’àmbit d’aplicació d’aquesta recomanació, d’enllaços a altres pàgines web. Tot i que la responsabilitat derivada de la difusió d’informació pugui correspondre al titular de la pàgina web que realitza la difusió, en els termes que estableix la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic (LSSICE) i altres disposicions aplicables, es recomana evitar la inclusió d’enllaços a pàgines web que no compleixin amb la normativa de protecció de dades i amb les recomanacions que s’estableixen en aquest document.

Pàgina 12




14

SERVEI D’ALLOTJAMENT DE WEBS: Establiu les garanties necessàries en cas que allotgeu la vostra web en servidors de tercers

Quan el responsable del fitxer o tractament no coincideixi amb el titular del mitjà electrònic a través del qual es produeixi la difusió, es recomana establir detalladament, en el conveni o contracte previ a què es refereix l’article 12 de la LOPD, totes les obligacions del prestador d’aquest servei derivades del tractament de dades de caràcter personal que pugui realitzar per compte de l’entitat responsable del fitxer. En aquests supòsits, la responsabilitat que es pugui derivar de la difusió d’informació és imputable al responsable del fitxer, en els termes previstos a la LOPD, sens perjudici de l’eventual responsabilitat del prestador del servei d’intermediació consistent en l’allotjament en el propi servidor de dades subministrades per alguna de les entitats incloses en l’àmbit d’aplicació d’aquesta recomanació, en els termes que estableix la LSSICE i altres disposicions aplicables.

15

BLOGS I FÒRUMS DE DISCUSSIÓ: Establiu prèviament les condicions d’ús del servei

Quan alguna de les entitats incloses a l’àmbit d’aplicació de la present recomanació ofereixi als ciutadans la possibilitat d’allotjar a la seva seu electrònica o pàgina web, blogs o espais on els usuaris puguin oferir la seva opinió o les informacions que considerin oportunes, i també en aquells casos en què s’ofereixi la possibilitat de participar en fòrums de discussió, es recomanen a les entitats responsables de la web les mesures següents: - Establir les condicions d’utilització del servei, amb especial referència a la impossibilitat d’utilitzar-lo per a la difusió de dades de caràcter personal que no comptin amb el consentiment de les persones afectades o amb cobertura legal. - Informar adequadament els usuaris del servei sobre aquestes condicions. - Exigir sistemes d’identificació que permetin verificar la identitat de les persones autores de les esmentades opinions o informacions. - Preveure els mecanismes necessaris per a poder retirar amb diligència les dades personals el tractament de les quals resulti il.legítim.

Pàgina 13






16

EINES DE RECERCA: Establiu mesures per limitar l’ús abusiu dels cercadors

La difusió d’informació a través d’Internet ha fet que la utilització de cercadors per tal de localitzar la informació existent a la xarxa adquireixi un especial protagonisme. En aquest sentit, per exemple, la Llei 37/2007, de 16 de novembre, de reutilització de la informació del sector públic, preveu expressament que les administracions i els organismes del sector públic facilitin mecanismes accessibles electrònicament que possibilitin la recerca dels documents disponibles per a la seva reutilització. Ara bé, això no ha de suposar una disminució de les garanties per a les dades personals de les persones que es poden veure afectades per aquestes informacions, atès que, tal com posa de manifest l’article 4.6 de la mateixa llei, quan els documents continguin dades de caràcter personal cal ajustar-se al que estableix la LOPD. La utilització de mitjans electrònics i, en especial, la utilització d’instruments de recerca basats en la indexació dels continguts de pàgines web, pot facilitar que la informació obtinguda amb tècniques de mineria de dades sigui utilitzada per a finalitats diferents a aquelles que en justifiquen la difusió, com seria el cas de l’obtenció de perfils personals o d’informació indiscriminada sobre una determinada persona. Per això, i sens perjudici de la responsabilitat en què pugui incórrer l’entitat que faciliti l’instrument de recerca, en els termes de la LSSICE, es recomana adoptar les mesures organitzatives i tècniques adients per a la protecció de les dades de caràcter personal contingudes en aquesta informació. Per assolir aquest objectiu, pot ser adequada l’adopció d’una o diverses de les mesures següents: a. Realitzar una anàlisi prèvia dels documents a publicar, que permeti identificar els que contenen dades de caràcter personal. b. Adoptar les mesures tecnològiques necessàries per evitar que els cercadors facilitin la recopilació de dades de caràcter personal per a finalitats diferents a aquella a la qual obeeix la publicació. A aquest efecte es recomana adoptar mesures tècniques tals com:

1. Aprofitar les eines que faciliten els mateixos cercadors per tal d’evitar que la informació es guardi a la memòria temporal d’aquests. 2. Utilitzar protocols tecnològics que permetin evitar la indexació dels documents que continguin dades de caràcter personal. 3. Evitar la utilització de fitxers per emmagatzemar les dades de caràcter personal que es publiquin i optar per fer-ho a través de solucions tècniques basades en la informació estructurada, com ara la utilització de bases de dades per accedir i emmagatzemar la informació. 4. Valorar la possibilitat que les parts dels fitxers que incorporin dades de caràcter personal s’incorporin com a imatges o altres sistemes que limitin l’accés als camps que continguin dades de caràcter personal.

Pàgina 14







17

DIFUSIÓ DE DADES PERSONALS RELATIVES A LA COMISSIÓ D’INFRACCIONS, A LA IMPOSICIÓ DE SANCIONS O A RESOLUCIONS JUDICIALS: Eviteu difondre dades personals sobre infraccions, sancions o resolucions judicials sense anonimitzar, llevat que una llei prevegi altrament

La difusió a través d’Internet i, per tant, l’accés generalitzat i indeterminat a dades personals en el context de l’actuació sancionadora de les administracions públiques, i de les resolucions judicials, podria suposar un desequilibri i un perjudici per als drets de les persones al•ludides per aquesta informació, que va més enllà de la pròpia sanció o resolució judicial. Això constituiria de facto una nova sanció no prevista per l’ordenament jurídic, especialment si aquesta informació és localitzable a través d’eines de recerca que permetin relacionar diverses resolucions sancionadores o judicials. Partint de la base que les dades de caràcter personal relatives a la comissió d’infraccions penals o administratives només poden ser incloses en fitxers de les administracions públiques competents en els casos que preveuen les normes reguladores respectives, segons disposa la LOPD, en els casos en què els responsables d’aquests fitxers valorin la possibilitat de donar difusió a dades personals en aquest àmbit, o bé al contingut de resolucions judicials, ja sigui de forma íntegra o parcial, convé tenir en compte les consideracions següents: D’entrada, la difusió ha d’estar legitimada per l’exercici de potestats pròpies i específiques de l’administració responsable de la pàgina web on es pretén difondre la informació, i la finalitat que es persegueix amb la difusió ha d’estar directament relacionada amb l’exercici concret d’aquestes potestats. A més, la difusió a través d’Internet de dades personals relacionades amb infraccions penals, administratives o disciplinàries comeses per persones físiques ha d’estar autoritzada expressament per una norma amb rang de llei. Únicament l’existència de previsió legal n’habilita la difusió, que s’haurà de fer en els termes que la norma determini. En aquest sentit, si la norma no especifica la difusió a través de mitjans electrònics, o si deixa al criteri del responsable la utilització dels mitjans de difusió d’aquestes dades personals concretes, el responsable ha d’establir criteris de ponderació per avaluar en quins casos la difusió electrònica es justifica per la matèria tractada o per l’existència d’un interès col•lectiu de l’opinió pública en conèixer aquestes dades. Pel que fa a les infraccions i sancions administratives, les clàusules generals d’habilitació no poden ser considerades cobertura suficient per decidir-ne amb absoluta discrecionalitat la publicació, sinó que la necessitat de previsió expressa implica que la mateixa llei ha de concretar les infraccions i sancions a les quals es pot aplicar aquesta difusió.

Pàgina 15



Les decisions judicials, en si mateixes, no tenen la consideració de fonts accessibles al públic i per tant, no resulta d’aplicació el règim previst en l’article 6.2 LOPD. En relació amb les resolucions judicials, cal tenir en compte que tot i que les actuacions judicials són públiques, amb les excepcions que preveuen les corresponents lleis de procediment, i que les resolucions s’han de pronunciar en audiència pública, per mandat de l’article 120 CE, aquest principi de publicitat ha d’interpretar-se de forma restrictiva per tal de protegir els drets de les persones implicades o afectades directament o indirectament per aquesta informació. Per tant, cal el consentiment inequívoc dels afectats, tret que la llei disposi una altra cosa. Llevat que es compti amb el consentiment dels afectats o amb una disposició legal que ho autoritzi, la difusió de dades personals de resolucions que declarin la comissió d’infraccions o la imposició de sancions o de resolucions judicials requereix l’anonimització de les dades de caràcter personal, de manera que els titulars no resultin identificables. També es recomana l’anonimització de les dades personals en el supòsit de difusió a través de seus electròniques o pàgines web de reculls de premsa o reproduccions de notícies, en què s’inclogui algun dels continguts a què es refereix aquest apartat. En qualsevol cas, l’existència d’habilitació legal per a la difusió de dades en aquest context exclou la necessitat de requerir el consentiment de l’interessat, però no exclou l’obligació de donar compliment a la resta de principis i obligacions de la legislació de protecció de dades.

18

DIFUSIÓ D’ACTES DE LES SESSIONS D’ÒRGANS COL.LEGIATS: No les difongueu quan continguin dades de caràcter personal

Sens perjudici del règim legal aplicable a la publicació dels actes i acords que s’adoptin, no es poden difondre a través de la web les actes de les sessions dels òrgans col.legiats que tinguin el caràcter de secretes. Respecte les actes de les sessions que tinguin caràcter públic, cal evitar-ne la difusió quan continguin dades de caràcter personal diferents a la identificació dels membres que en formen part, del funcionari que aixeca l’acta de la sessió o de les altres persones que hi intervenen per raó del seu càrrec, llevat que una llei ho autoritzi.

Pàgina 16




19

DIFUSIÓ DE DADES PERSONALS CONSISTENTS EN IMATGES O VEUS: Analitzeu si la difusió resulta legítima i proporcionada

La difusió per Internet d’imatges o veus que facin identificables persones ha de comptar amb el consentiment de la persona afectada, llevat que tingui cobertura en el que estableix la Llei orgànica 1/1982, de 5 de maig, de protecció del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge, o en una altra norma amb rang de llei. Per això, fora d’aquests supòsits, es recomana que la difusió d’imatges, estàtiques o dinàmiques, es realitzi només en aquells casos en què resulti justificat, prèvia ponderació de la proporcionalitat de la mesura i, en qualsevol cas, de manera que no es facin identificables persones concretes. No obstant això, es poden difondre imatges de les sessions dels òrgans parlamentaris, els òrgans de govern de les entitats locals i altres òrgans col.legiats, les sessions dels quals tinguin caràcter públic, d’acord amb les respectives lleis reguladores, i sempre que això no afecti el dret a la intimitat de terceres persones. Capítol III. Publicació a diaris oficials i butlletins oficials electrònics Sens perjudici de l’aplicabilitat de les consideracions formulades en el capítol anterior d’aquesta recomanació en allò que no s’oposi al que es preveu en aquest capítol, en la publicació d’informació en els diaris i butlletins oficials que contingui dades de caràcter personal convé tenir en compte, de forma específica, les consideracions que es formulen en els apartats següents.

20

EINES DE RECERCA: Establiu mesures per limitar l’ús abusiu dels cercadors

D’acord amb l’article 3.j) de la LOPD, els diaris i butlletins oficials constitueixen fonts d’accés públic. Això implica la possibilitat que la informació que s’hi conté pugui ser consultada i tractada per qualsevol persona i també que, d’acord amb l’article 11.2.b) de la mateixa Llei, puguin ser comunicades a tercers les dades recollides d’aquests mitjans. Es tracta realment d’un règim especial amb unes possibilitats de tractament notablement superiors que el que es pot dur a terme amb caràcter general, però la consideració com a fonts d’accés públic no ha de suposar una eliminació de les garanties per a les dades personals de les persones que es poden veure afectades per aquestes informacions. Ans al contrari, el mateix

Pàgina 17





article 6.2 de la LOPD estableix que el tractament ha de respondre a l’interès legítim del responsable del fitxer o del tercer a qui es comuniquin les dades i, en qualsevol cas, no pot comportar la vulneració dels drets fonamentals de l’interessat. Per això, i també sens perjudici de la responsabilitat en què pugui incórrer l’entitat que faciliti l’instrument de recerca, en els termes de la LSSICE, en el supòsit que la informació es difongui a través de la publicació en diaris i butlletins oficials es recomana: A) A les entitats que ordenin la publicació, que col.laborin amb les entitats responsables del diari o butlletí oficial en la implantació de la mesura prevista a la lletra b) de l’apartat 16 d’aquesta recomanació, identificant, d’acord amb el que estableixi l’entitat responsable del diari o butlletí oficial, els documents o parts de documents que incorporin dades de caràcter personal. Igualment, els correspon evitar la incorporació de dades de caràcter personal al títol dels documents, llevat que sigui necessari per al compliment de la finalitat que justifica la publicació. B) A les entitats responsables del diari o butlletí oficial, que vetllin per l’adopció de les mesures a què es refereix la lletra b) de l’apartat 16 d’aquesta recomanació o altres mesures similars que permetin assolir els mateixos objectius, com també per l’establiment de mecanismes que permetin a l’ens responsable de la informació identificar els documents o parts de documents que continguin dades de caràcter personal. Tot això sens perjudici que, en les aplicacions de recerca facilitades per la mateixa entitat responsable del diari o butlletí oficial, s’implanti algun sistema addicional que limiti la possibilitat d’efectuar recerques massives d’informació a partir de dades de caràcter personal.

21

DEURE D’INFORMACIÓ I EXERCICI DELS DRETS D’HABEAS DATA: Adopteu les mesures necessàries per donar compliment efectiu a l’exercici dels drets

Sens perjudici del deure d’informació establert a l’article 5 de la LOPD, es recomana donar informació, a la seu electrònica on es publiqui el diari o butlletí oficial electrònic, sobre la possibilitat d’exercici dels drets d’accés, rectificació, cancel.lació i oposició de les dades de caràcter personal que hi són publicades, com també de l’organisme davant el qual es poden exercir. La brevetat dels terminis per atendre l’exercici dels drets, especialment pel que fa a la cancel.lació i rectificació, fa que aquesta informació resulti molt important als efectes que els ciutadans puguin adreçar les seves sol.licituds a l’òrgan competent.

Pàgina 18





En el cas que el titular de les dades de caràcter personal exerciti els drets d’accés, rectificació, cancel•lació o oposició davant de l’entitat responsable del diari o butlletí oficial, en els termes que estableix la LOPD per a l’exercici dels drets esmentats, cal tenir en compte: - Si els drets s’exerceixen en relació amb fitxers o tractaments de dades personals que no obeeixin a ordres de publicació formulades per altres entitats o persones, sinó que es refereixen a altres tractaments dels quals és responsable la mateixa entitat responsable del diari oficial, aquesta ha de donar resposta a la sol.licitud i, si escau, adoptar les mesures adients, en els terminis legalment establerts. - Si els drets s’exerceixen en relació amb fitxers o tractaments de dades personals dels quals és responsable un tercer, això és, un organisme públic o bé una persona o entitat privada que ha instat la publicació de les dades en el diari o butlletí oficial, l’entitat responsable del diari o butlletí oficial ha de donar trasllat de la sol.licitud a l’ens o persona que hagi ordenat la publicació al més aviat possible, i sempre dins el termini de 10 dies, i comunicar-ho, de forma paral.lela, a la persona o persones interessades. Correspon a l’òrgan o organisme que hagi ordenat la publicació atendre les sol.licituds d’exercici d’aquests drets i, si escau, ordenar a l’entitat gestora del diari oficial de què es tracti les actuacions que cal dur a terme per tal de fer efectives les resolucions que s’adoptin. En el cas que, d’ofici o com a conseqüència de la sol.licitud de l’interessat, es declari procedent la rectificació de dades que hagin estat publicades, el responsable del fitxer ha de comunicar la rectificació a l’entitat responsable del diari o butlletí oficial, per tal que es publiqui i alhora s’adoptin les mesures necessàries per advertir sobre aquesta circumstància en la informació publicada originàriament. En el cas que s’acordi la cancel.lació de les dades que hagin estat publicades en un diari o butlletí oficial, l’ens responsable del fitxer ho ha de comunicar a l’entitat responsable del diari o butlletí oficial, que també les ha de cancel.lar. Barcelona, 15 d’abril de 2008 Esther Mitjans Perelló Directora

Pàgina 19



Pautes d’actuació per a la difusió d’informació a través de pàgines web

La informació a difondre conté dades personals?

S’incorporen enllaços a altres pàgines web? La Recomanació no

s’aplica Les dades s’han recollit legítimament i s’ha complert amb el deure d’informació? La pàgina a la qual

remet l’enllaç s’ajusta a aquesta Recomanació?

S’ha aprovat la política de privacitat de la web? Cal aprovar-la

És possible donar compliment a la finalitat dela difusió a través de sistemes d’identificació?

És justificada la publicitat a través d’Internet?

Consta el consentiment del titular de les dades?

Hi ha una norma amb rang de llei que habiliti la difusió?

Les dades són idònies i estrictament necessàries per assolir la finalitat?

S’ha establert un sistema de verificació periòdica de les dades personals difoses?

S’ha implantat algun sistema de limitació a l’acció dels cercadors?

Es pot assolir la finalitat amb altres sistemes que impliquin menor afectació a les dades personals?

Hi ha un termini establert per al manteniment de la difusió?

Les dades personals han de ser retirades en complir-se el termini establert

Cal adoptar les mesures necessàries per complir-lo

La difusió és inicialment ajustada a la normativa de protecció de dades

Cal evitar l’enllaç

Cal preveure mecanismes de revisió periòdica dels enllaços

S’ha previst algun mecanisme de verificació periòdica dels enllaços?

Cal evitar difondre dades que no resulten idònies o necessàries

Es recomana utilitzar els sistemes alternatius de difusió

Cal establir sistemes de verificació periòdica

Es recomana implantar-lo

Es recomana establir un termini per al cessament de la difusió

La difusió de dades no es pot realitzar

Llegenda

Si No

Pàgina 20


Pautes d’actuació per als responsables d’ordenar publicacions

en diaris oficials Pautes d’actuació per als responsables d’ordenar publicacions

en diaris oficials

La informació que es vol publicar conté dades personals?

La Recomanació no s’aplica

La publicació en diaris o butlletins oficials electrònics respon a una obligació generada per una norma amb rang de llei?

La difusió de les dades no es pot realitzar

El responsable ha d’avaluar quines dades personals resulten idònies i estrictament necessàries per al compliment de la finalitat

La norma aplicable obliga a la publicació íntegra del document?

S’ha comunicat a l’entitat responsable del diari oficial aquesta circumstància?

Es recomana fer aquesta comunicació

El títol del document conté dades personals?

És necessari que el títol contingui dades personals?

Llegenda S’ha d’evitar que el títol contingui dades personals

Hi ha algun termini legal d’exposició pública del document en diaris o butlletins oficials?

Si No

Pàgina 21

El responsable ha de comunicar-ho a l’entitat, per tal de limitar l’accés a les dades dins el termini establert


Pautes d’actuació per a les entitats responsables de diaris

oficials Pautes d’actuació per a les entitats responsables de diaris

oficials

L’entitat té establerts mecanismes per tal que el responsable d’ordenar la publicació pugui indicar si el document conté dades personals?

Cal establir aquests mecanismes

L’entitat dóna informació en la seu electrònica sobre l’exercici de drets d’habeas data, identificant els organismes que han d’atendre les sol·licituds d’exercici de drets?

Es recomana incloure la informació adient

L’entitat té mecanismes de recerca propis?

Aquests mecanismes es limiten a permetre la recerca per títol?

L’entitat té mecanismes que permetin limitar l’accés a les dades, transcorregut el termini legalment establert?

Es recomana estudiar la possibilitat de limitar la recerca al títol en els documents que continguin dades

Es recomana implantar aquests mecanismes

S’ha implantat algun sistema de limitació a l’acció dels cercadors? Es recomana estudiar

la possibilitat d’implantar-los

Llegenda

Si No

Pàgina 22


Pàgina 23

RECOMANACIÓ 1/2008 de l’Agència Catalana de Protecció de … i guies... · 2011. 7. 4. ·...

Documents

Transcript of RECOMANACIÓ 1/2008 de l’Agència Catalana de Protecció de … i guies... · 2011. 7. 4. ·...